Era uma quinta-feira, dez e meia da noite, e estávamos na segunda semana de trabalho incansável recuperando os servidores e as informações de uma grande companhia brasileira que tinha sofrido um ataque cibernético e estava sem operar havia sete dias consecutivos. Ao telefone com o presidente da empresa, expliquei porque todo o investimento em segurança tinha sido em vão. Detalhei o método utilizado pelo atacante e discorri sobre os erros cometidos, sobre as decisões erradas, e finalmente sugeri as soluções que precisavam ser implantadas imediatamente para voltarem à operação. Ele me confessou com uma voz cansada e de quem estava sem dormir por mais de 30 horas: “eu nunca mais quero passar por isso em toda a minha vida”.
Essa frase me persegue desde então. Percebi, naquela conversa e em outras mais que tive com executivos daquela e de outras empresas em situações semelhantes, como eles não faziam ideia do risco que sempre correram. Estamos preparados para um mundo sob ameaça constante de criminosos digitais? Não, não estamos.
Desde a declaração de pandemia em 11 de março deste ano, diversos setores da economia foram alvos de extorsões, roubos de informação e paralização de serviços por ataques de quadrilhas organizadas do crime cibernético. O setor de energia sofreu paralizações. O setor de saúde também, incluindo roubo de dados. O setor financeiro viu crescer fraudes digitais, assim como o de telecomunicações. E os ataques, antes restritos a roubos de informações e a paralização de serviços ao tirar do ar servidores ou conexões com a internet, agora chegam às plantas de usinas, distribuidoras de energia e montadoras de automóveis com o potencial, inclusive, de risco à vida humana.
Há vários tipos de criminosos, dos mais sofisticados, que desenvolvem suas próprias ferramentas, até os mais amadores, que buscam soluções automatizadas para fazer ataques simples. Com maior ou menor grau de sofisticação, eles vão seguir estes passos básicos já conhecidos pela comunidade internacional de segurança cibernética:
• Reconhecimento: As portas de entrada mais comuns são servidores mal configurados na internet, o que facilita a entrada de alguém com algum conhecimento em sistemas operacionais, ou um e-mail contendo um código malicioso que o destinatário abre inadvertidamente, o phishing. Para que essas técnicas funcionem bem é preciso conhecer a rede IP e fazer testes para avaliar qual a tecnologia empregada, sistema operacional e suas versões, firewalls e outras soluções de segurança funcionando na empresa alvo.
Para o phishing funcionar basta que alguém abra o arquivo malicioso ou clique no link errado. Para aumentar as probabilidades, o atacante estuda as vítimas. Usam as redes sociais para conhecer os líderes da empresa, como se expõe no LinkedIn, Facebook e Twitter, e, assim, escolhem o alvo perfeito. Usam informações públicas para se fazerem passar por um alto diretor ou uma grande executiva da empresa em um ataque, que é quando se utiliza de informações falsas para enganar alguém e obter acessos indevidos. O principal erro é fazer a migração para a nuvem sem se preocupar com segurança. Um scan nas redes da empresa já dá para achar servidores vulneráveis, sem a proteção mínima de um firewall e sem a configuração mínima de segurança. No ano passado, oito de cada 10 incidentes que a minha equipe atuou tinha como causa raiz um servidor mal configurado com acesso irrestrito na internet. Isso não é falha de segurança, é falta de preocupação com segurança.
Outro erro comum é a super exposição nas redes sociais. É fácil descobrir quem são os/as grandes executivos/as, ter informação sobre suas famílias, hábitos, viagens, endereços e quem são os amigos e amigas. Há toneladas de dados vazados, desde sites de romance até hotéis e agências de viagem. Em uma busca numa dessas bases já é possível saber que o alvo do criminoso teve seu e-mail vazado no último ataque a um site de relacionamentos, por exemplo. Estas informações em um e-mail crível faz o alvo clicar no link ou baixar o arquivo.
• É hora de se armar: Este é o momento em que são criadas as armadilhas e o criminoso decide quais armas usar no ataque. Talvez uma página falsa para coletar usuário e senha. Talvez um phishing direcionado como se tivesse partido do diretor de operações da empresa falando sobre as últimas medidas que a empresa está realizando para o retorno pós-Covid. Nesta fase eles vão também preparar e configurar as ferramentas para o ataque, criar domínios e organizar o cronograma do ataque. Por melhor que seja o grupo criminoso, eles deixam rastros e causam ruído. Um bom time de inteligência cibernética pode detectar domínios sendo criado ou mesmo discussões nos fóruns da darkweb indicando um ataque.
• O ataque (delivery): O ataque começa quando o e-mail para phishing é disparado ou quando o servidor exposto é dominado. Se o criminoso domina um servidor exposto, o ataque progride de fase. Quando é um malware anexado em um e-mail é preciso esperar o usuário desatento baixá-lo e esperar o momento programado para o malware avisar que está tudo pronto.
• Exploração: Aqui começa a navegação dentro da infraestrutura da organização-alvo. Dependendo de qual foi a porta de entrada, agora o criminoso está dentro e vai se tornar um administrador por exemplo. Roubar arquivos de senha, desabilitar regras de firewall. O atacante quer ter certeza de que consegue ficar indetectável pelo tempo de que precisa para cumprir seu objetivo.
É fácil adivinhar a sua senha? Uma sequência numérica de 4 dígitos pode ser quebrada em menos de um segundo por softwares atuais. Que tal uma palavra comum, digamos Botafogo… Em sete minutos um laptop comum a quebra. O simples fato de usar oito dígitos e misturar letras, números e caracteres já eleva para um mês. As minhas senhas, com 20 caracteres entre todos os possíveis no teclado, os melhores algoritmos levariam 10 mil séculos para quebrar (até a computação quântica chegar de vez, pelo menos). Muitas vezes o criminoso é pago por outro para realizar o ataque com o objetivo de roubar informações confidenciais, plantar informações ou sabotar projetos. O objetivo pode ser roubo de dados pessoais para futura extorsão ou ainda simplesmente dar uma mensagem política. Qualquer que seja o objetivo é nesta fase que o criminoso se prepara para atingir com o menor esforço e maior segurança (por mais contraditório que pareça).
• Porta dos fundos (backdoor): O grupo criminoso quer garantir que irá continuar com acesso, mesmo que eventualmente o atual seja descoberto ou apagado por engano, por exemplo, se por qualquer motivo for trocado o endereço da máquina ou mesmo desligada. Então várias backdoors são criadas para garantir a volta do bandido sempre que for desejada.
• Comando e Controle: Quando já dominaram a rede e criaram usuários administradores e, agora, têm poder total sobre a organização, eles podem fazer o que quiserem, inclusive desligar tudo, criptografar todas as máquinas e roubar todas as informações. As consequências vocês podem imaginar. Pense nos sistemas que poderiam ser comprometidos e os criminosos terão acesso. O que eles podem fazer como administradores desses sistemas? Eles poderiam transferir dinheiro? Parar uma máquina? Sobrecarregar uma perfuradora? Desviar a rota de um avião? Enviar e-mail para um cliente em nome do CEO? Apagar todos estes rastros depois? A resposta a estas perguntas vai depender de quanto estes sistemas, suas arquiteturas e a arquitetura de rede da empresa foi pensada com a possibilidade de, um dia, um criminoso estar ali com acesso de administrador.
• Ação: Os criminosos, enfim, atingem seus objetivos, seja roubando informações pessoais ou confidenciais, seja destruindo documentos ou dados, ou ainda sabotando empresas e atacando sistemas industriais. Se você foi vítima recente de um ataque de ransomware, como várias organizações foram recentemente no Brasil, até aqui você ainda não sabe o que já aconteceu. O grupo criminoso que escolheu a sua empresa como alvo já realizou o trabalho, provavelmente, já foi pago por isso.
• Hora de apagar os rastros: Ao longo do processo, os criminosos apagam seus rastros. Mascaram o endereçamento IP onde estão e deletam registros sistêmicos que possam ter gravado alguma movimentação. Muitas vezes vão embora sem deixar vestígios. Mas há outros que preferem fazer barulho ao sair, às vezes como parte do objetivo do grupo. “Acordam” um tipo de software malicioso chamado ransonware que recebeu esse nome em função do radical “ranson”, resgate em inglês. O programa criptografa máquinas infectadas tirando a condição dos administradores da rede reagirem.
Retomo o que comentei no início do texto: foram sete dias em um ambiente com todas as máquinas criptografadas, trazendo de volta à vida a empresa daquele CEO. Fomos acionados na madrugada em que o ransomware fora disparado. Descobrimos depois, com as nossas investigações, que a fase de delivery, tinha sido realizada seis meses antes, e que a fase inicial de investigação, há mais de oito meses. Se conseguíssemos obter estes dados investigando, teria sido possível que fossem descobertos quando os eventos aconteceram e as reações teriam efeitos mais satisfatórios evitando um desastre maior.
Altos investimentos em segurança não substituem pessoas treinadas nem processos bem definidos e seguidos à risca diariamente. Não há solução mágica para proteger uma empresa. A melhor comparação que costumo fazer é com a higiene pessoal: é diário, constante. Todos os dias novas brechas de segurança são identificadas nos sistemas operacionais, aplicativos de mensagem ou bancos de dados. Os fabricantes dessas ferramentas trabalham incansavelmente para corrigir e publicar novas versões que corrigem falhas. Muitos dos ataques que aconteceram nos últimos 30 dias no Brasil exploraram falhas de segurança conhecidas há mais de 12 meses. Por que não foram corrigidas? Provavelmente porque não exista um processo para isso, com a devida importância e prioridade.
Proponho uma reflexão sobre um episódio que está dando o que falar no mundo da segurança cibernética lá fora: a demissão de Chris Krebs, diretor da Cybersecurity and Infrastrucuture Security Agency (CISA). Ele era considerado o CISO (Chief Information Security Officer) dos EUA e principal conselheiro da Casa Branca quando o tema é segurança cibernética. Enquanto todos lamentam a campanha do atual presidente para desacreditar suas eleições, eu me pergunto como se valoriza a figura do CISO por aqui. Muitas vezes “escondido” sob um gerente de infraestrutura de TI, ou abaixo de um diretor de segurança física, raramente o CISO tem a voz estratégica que deveria ter e só é lembrado na hora de um grande ataque, como os recentemente divulgados.